токен авторизации в явном виде (не в HTTP-only куке)? Кто так делает, как обезопаситься от того, что сторонний JS-код, загруженный из CDN, или скомпиленный из npm, или в расширении для браузера, сможет прочитать и передать такой токен на сторону?
А в Authorization header?
Обсуждают сегодня